內政部消防署今(4)日，公開徵求廠商提供「救災雲賡續計畫-107年基礎服務平臺營運管理案」參考資料。

該計畫已公告需求計畫書(RFP)草案，詳述資料中心、備援中心及機房等現況及專案需求，並徵求廠商提供參考意見與報價。救災雲計畫在101年底招標的基礎服務平台建置暨營運案，預算高達1億8千萬元，其賡續案尚待廠商提供建議，實際金額以招標公告為準。

賡續計畫資安防護規劃細膩

資訊安全部分，消防署將要求得標商落實資安防禦佈署、骨幹網路安全服務、虛擬服務資訊安全等。並有一些細膩的規劃，例如，得標商需與行政院資通安全會報技術服務中心充分合作，以阻擋特定網路位址與名稱、特定連線，以及資安查核工作等。

在「骨幹網路安全服務」方面，除一般應有的資安作為外，需以手動或自動方式保持入侵防護系統地攻擊特徵碼為最新版本，並依照攻擊趨勢隨時調整防護政策，且入侵防護系統得根據網路情況、攻擊類型進行自動化判斷，並進行阻擋。

消防署也將督責得標商每半年進行滲透測試(含複測)、每月進行弱點掃瞄，針對進駐的應用程式，進行安全性檢測作業，並即時進行安全性修正檔(包括各設備和軟體之修補程式)及病毒碼更新。

行政院資安稽核團隊日前到消防署執行稽核時，提出「VM主機並無安裝防毒軟體」，經消防署查察，所使用為趨勢防毒Deep Security(angentless式)，其特性為安裝於底層HOST主機，即可防衛建置其上的VM，然而行政院稽核團隊認為此種防護方式，有心人士可以繞過、直接攻擊主機，因此廠商應更換主機防毒軟體廠牌。

從行政院資安稽核團隊執行稽查的仔細程度，可見政府深化資安防護所作的努力。